SpringSecurit原理解读和使用教程(一)——框架总览

最新推荐文章于 2023-04-21 09:00:00 发布
最新推荐文章于 2023-04-21 09:00:00 发布
阅读量523 收藏
点赞数
分类专栏: Spring 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C_1_1_/article/details/91525829
版权

我们知道SpringSecurity在Spring项目中是提供安全措施的,那么在web开发中我们一般通过Filter来保护web资源,同样,SpringSecurity也是通过一系列Filter来保护我们的Web资源,但是,和平时使用的不同的是,这些Filter不需要我们直接实现,在We开发中的常用的Filter已经在框架中实现了,我们需要做的就是进行相应的配置即可,这些已经实现的filter将会被组建成一个FilterChain,在项目启动的时候,将启动这个过滤器链来为我们的项目提供安全服务;

所以,在研究SpringSecurity框架原理的时候就是在研究这个FilterChain是怎样在项目启动的时候组建起来的,而我们自己的配置又是通过怎样的机制加载进去的;以及后续的学习中,这些Filters具体的工作流程是什么 ;

第一个问题,FilterChain的创建流程——
在这里,我们需要开始接触SpringSecurity相关的代码(只是很小的一部分):

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter

在项目中,我们通过声明上面的类来为我们的项目引入SpringSecurity的安全服务,具体来说,是一个注解@EnableWebSecurity和继承的一个类WebSecurityConfigureAdapter;

SPringSecurity就是从这两样东西开始——

首先来看一下@EnableWebSecurity注解:

官方通过注释说明:将此注释添加到具有@configuration注解的类上以使用SpringSecurity;也就是说,是这个注解为我们引入了SpringSecurity,现在记住这点就可以了,至于是通过什么机制引入的我们之后再看;

其次,我们来看看另一个——WebSecurityConfigureAdapter类,

public abstract class WebSecurityConfigurerAdapter implements
      WebSecurityConfigurer<WebSecurity>

通过注释我们可以知道:为创建websecurityconfigurer实例提供了一个方便的基类,具体可以通过重写方法进行定制其实现。

也就是说,这个类的作用是方便我们通过继承他并重写其中的相关方法来定制我们自己websecurityconfigurer;至于websecurityconfigurer,看名字就是知道是用来配置Filter的;

所以,要使用spring security,首先我们需要继承websecurityconfigureadapter类并重写其中相关的方法类为我们的项目进行配置;同时在这个类上要添加@configuration注解和@Enable web Security注解来引入spring security的支持;

所以,到此为止,具体是怎么创建出FilterChain的呢?我们直接来看对应创建的源码——

int chainSize = ignoredRequests.size() + securityFilterChainBuilders.size();
	List<SecurityFilterChain> securityFilterChains = new ArrayList<SecurityFilterChain>(
			chainSize);
	for (RequestMatcher ignoredRequest : ignoredRequests) {
		securityFilterChains.add(new DefaultSecurityFilterChain(ignoredRequest));
	}
	for (SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder : securityFilterChainBuilders) {
		securityFilterChains.add(securityFilterChainBuilder.build());
	}
	FilterChainProxy filterChainProxy = new FilterChainProxy(securityFilterChains);

上面的代码可以看到FilterChain的创建主要依赖两个对象——ignoredRequest和securityfilterchainbuilder,

分别通过

new DefaultSecurityFilterChain(ignoredRequest)

securityFilterChainBuilder.build()

可分别创建一个FilterChain,然后“add”进“securityFilterChains”中,具体的实现我们暂且不去理会,主要来大概看一下这两中创建方式,

第一种大概可以看出是以ignoredRequest对象为参数“new”了一个default的FilterChain——创建出的应该是一个默认配置的FilterChain,(我们暂且这样理解)

而第二种调用的是filterchain的“builder”方法,也就是通过他的构造器build出了一个FilterChain;

这两种方式穿件有什么不同的地方或者有什么联系,我们之后再说,在这里,我们应该知道的是我们所需要的这过滤器链是在哪、通过什么样的方式创建出来的,看过这里的创建代码,对这个过程有一个大概的了解对之后的分析将会带来很大的帮助;

同时,在上面的代码中应该注意到一个细节——创建的FilterChain加入到了一个列表中,也就说,允许为我们的项目创建多个FilterChain;还有就是,最后创建的并不是真正的filter组成的链,而是一个“proxy”,是一个代理;

到此为止,我们知道创建FilterChain有两种方式:
new一个默认的实现,或者通过构建器构建一个,在这里我们很容易猜想到的是,通过构建器securityFilterChainBuilder构建的FilterChain应该是与默认实现相对的——自定义配置的实现,所以说,我们之前提到的自定义配置是通过构建器来实现的,那么下面就来看一看这个过程的具体实现流程,

首先,securityFilterChainBuilder是什么?

final HttpSecurity http = getHttp();
web.addSecurityFilterChainBuilder(http)

上面的代码中通过getHttp方法返回一个http对象,然后将这个http对象作为参数传递给了addSecurityFilterChainBuilder方法,再来看这个方法:

public WebSecurity addSecurityFilterChainBuilder(
			SecurityBuilder<? extends SecurityFilterChain> securityFilterChainBuilder) {
		this.securityFilterChainBuilders.add(securityFilterChainBuilder);
		return this;
	}

代码注释中对这个方法的说明:

  • 添加生成器以创建securityfilterchain实例。
  • 这个函数通常在 WebSecurityConfigurerAdapter类的init(WebSecurity)方法中被自动调用;
  • securityfilterchainbuilder用于创建securityfilterchain实例
  • 返回websecurity进行进一步的自定义

现在很明了的是,http对象就是一个securityFilterChainBuilder,通过addsecurityFilterChainBuilder()方法将其加入到了securityFilterChainBuilders列表中,而这个列表我们已经在上面创建FilterChain的代码中见过了,就是一个用来存放securityFilterChainBuilder的列表;

所以说,这个通过getHttp()方法得到的http对象就是用来生成filterchain的构建器,

因此,接着来看关于getHttp()的代码 :

protected final HttpSecurity getHttp() throws Exception {
		if (http != null) {
			return http;
		}
/*省略不必要的代码*/
		http = new HttpSecurity(objectPostProcessor, authenticationBuilder,
				sharedObjects);
		configure(http);
		return http;
	}

上面的代码不必仔细阅读,直接看代码中关于这个方法的注释:

创建httpsecurity或返回当前实例

很假单的一句说明,这个方法的功能也和这个注释一样简单——直接返回一个http对象,如果没有的话则创建一个http对象然后返回,(这里要说明的是,该方法中直接返回的http对象是源自于该方法所属的类中的,在这里读者可能也会有疑惑,本文中所提及到的方法均没有说明其所属的类,在这里说明一下,未提及到具体的类是为了刚开始接触源码的同学逻辑产生混乱;以及这些需要记忆的类名会对理解造成困扰,而不提及方法所属的类对于我们理解FilterChain的创建过程并没有任何的影响,反而因为不会分散过多的注意力在类名和类之间的调用关系上而对创建的过程有一个更加清楚的了解,上面所提及到的代代码和所属的类将会在之后详细分析的时候一一解读;本篇文章只是让读者对SpringSecurity框架的原理和工作流程有一个整体把握)

现在,我们应该来看一下最后这个最重要的角色——http对象:
下面列出了该类中主要的属性和方法;但是也不用细看,分析中有对应的详细说明;

public final class HttpSecurity{
    private final RequestMatcherConfigurer requestMatcherConfigurer;
	private List<Filter> filters = new ArrayList<Filter>();
	private RequestMatcher requestMatcher = AnyRequestMatcher.INSTANCE;
	private FilterComparator comparator = new FilterComparator();

private ApplicationContext getContext();
public OpenIDLoginConfigurer<HttpSecurity> openidLogin()
public HeadersConfigurer<HttpSecurity> headers()
public CorsConfigurer<HttpSecurity> cors() 
public SessionManagementConfigurer<HttpSecurity> sessionManagement()
public PortMapperConfigurer<HttpSecurity> portMapper()
public JeeConfigurer<HttpSecurity> jee()
public X509Configurer<HttpSecurity> x509()
public RememberMeConfigurer<HttpSecurity> rememberMe()
public ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry authorizeRequests()
public RequestCacheConfigurer<HttpSecurity> requestCache()
public ExceptionHandlingConfigurer<HttpSecurity> exceptionHandling()
public SecurityContextConfigurer<HttpSecurity> securityContext()
public ServletApiConfigurer<HttpSecurity> servletApi()
public CsrfConfigurer<HttpSecurity> csrf()
public LogoutConfigurer<HttpSecurity> logout()
public AnonymousConfigurer<HttpSecurity> anonymous() 
public FormLoginConfigurer<HttpSecurity> formLogin()
public ChannelSecurityConfigurer<HttpSecurity>.ChannelRequestMatcherRegistry requiresChannel()
public HttpBasicConfigurer<HttpSecurity> httpBasic()
protected void beforeConfigure()
protected DefaultSecurityFilterChain performBuild() 
public HttpSecurity authenticationProvider(
			AuthenticationProvider authenticationProvider)
public HttpSecurity userDetailsService(UserDetailsService userDetailsService)
private AuthenticationManagerBuilder getAuthenticationRegistry()
public HttpSecurity addFilterAfter(Filter filter, Class<? extends Filter> afterFilter)
public HttpSecurity addFilterBefore(Filter filter,
			Class<? extends Filter> beforeFilter) 
public HttpSecurity addFilter(Filter filter) 
public HttpSecurity addFilterAt(Filter filter, Class<? extends Filter> atFilter)
public RequestMatcherConfigurer requestMatchers()
public HttpSecurity requestMatcher(RequestMatcher requestMatcher) 
public HttpSecurity antMatcher(String antPattern)
public HttpSecurity regexMatcher(String pattern)
public final class MvcMatchersRequestMatcherConfigurer 
private <C extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity>> C getOrApply(
			C configurer)
}

先看注释:
http security类似于Spring Security在命名空间配置中的xml&lt和http&gt元素。

为特定的HTTP请求配置基于Web的安全性。默认情况下,将应用于所有请求,但可以使用requestmatcher(requestmatcher就是上面所提到的第一种创建默认配置的filter chain时的对象参数ignoredrequest所属的类)或其他类似方法进行限制。

也是就是说,http就是一个配置类,配置的内容是该类中的各种方法对应的Filter,见名知意,读者可以大致浏览一下上面列出的方法,httpSecurity就是通过这些类来配置相应的过滤器的;可以明显的看出来,上面的各种配制方法的返回值是一个***configrer——也就是后面在创建filter chain时要用到的各种configurer就是通过http对象中的方法返回的;

读到这里,我们可以有以下总结:

以上便是Spring Security创建filterChain的逻辑过程,之后我们来看具体的实现流程是怎样的,也就是这些类之间的调用关系和SpringSecurity的启动流程,几乎所有的工作将会围绕这个流程的实现来进行,或扩展某个具体过程,或添加被我们省略掉的步骤;

http对象在那里创建?http到底包含什么内容?http对象是怎样作为filter chain的builder来创建filter chain的?详见下一篇文章:
SpringSecurit原理解读和使用教程(二)——spring security的启动流程

C_1_1_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Dubbo中Filter过滤器,拦截器的实现原理,实现自定义的Filter过滤器
LeoHan
11-21 4380
我们知道Dubbo中大部分的实现类加载都是通过SPI实现,同样Dubbo也提供了Filter机制,这个部分研究下怎么实现了,是怎样的一个调用逻辑。 首先我们看下Dubbo中Filter的定义: * Filter Chain in 3.x * * -> Filter -> Invoker * * Proxy -> ClusterFilter -> ClusterInvoker -> Fil
Spring Security详解
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4492
Spring 是非常流行和成功的 Java 应用开发框架Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
spring security (史上最全)
架构师尼恩
04-21 5721
一般意义来说的应用访问安全性,都是围绕认证(Authentication)和授权(Authorization)这两个核心概念来展开的。即:认证这块的解决方案很多,主流的有、、等(不巧这几个都用过-_-),我们常说的单点登录方案(SSO)说的就是这块,授权的话主流的就是spring security和shiro。shiro比较轻量级,相比较而言spring security确实架构比较复杂。但是shiro与 ss,掌握一个即可。这里尼恩给大家做一下系统化、体系化的梳理,供后面的小伙伴参考,提升大家的 3高 架
Spring Securit权限管理
10-27
Spring Security 是一个强大的Java安全框架,它为应用程序提供了全面的安全管理解决方案。在Spring Security中,权限管理是核心功能之一,允许开发人员控制不同用户对应用资源的访问权限。本篇文章将深入探讨Spring ...
SpringSecurit安全权限管手册
07-10
SpringSecurity是Java应用程序的安全框架,它提供了一套全面的解决方案来处理身份验证、授权和访问控制。本手册将深入探讨SpringSecurity的核心概念和实践应用,帮助开发者构建安全的Web应用程序。 1. **第一章:一...
狂神 SpringSecurity 静态资源.zip
06-03
"狂神 SpringSecurity 静态资源.zip"这个压缩包,想必是包含了关于Spring Security如何处理和保护Web应用中的静态资源的相关教程或示例代码。下面,我们将详细探讨Spring Security在处理静态资源方面的关键知识点。 ...
yshop基于当前流行技术组合的前后端分离商城系统(SpringBoot2+MybatisPlus+SpringSecurit)
最新发布
04-30
yshop基于当前流行技术组合的前后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的前后端分离的商城系统, 包含商城、拼团、砍价、商户管理、 秒杀、优惠券、积分、分销、会员、充值、多...
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
Spring Boot Security 2.5.8 是一个强大的框架,用于为Spring Boot应用程序提供安全控制,包括身份验证和授权。在2.5.8版本中,它增强了灵活性和易用性,使得开发者能够轻松地实现复杂的安全需求。在这个项目中,...
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1202
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
Spring Security的初始化过程(2)
weixin_44612246的博客
03-10 241
SpringSecurity初始化过程源码分析
Spring Security源码解析(二.创建FilterChainProxy)
qq_30905661的博客
08-10 2756
上一章介绍了Spring Security的相关知识点,这章将详细分析源码。 首先需要认识到Spring Security的关键是filter——FilterChainProxy,经过一层层的filter才能最终访问到我们的资源信息。 同时要了解,访问不同的uri,系统会采取对应的filter列表进行过滤,如下图所示。 严谨点说不止是uri,可以自定义匹配头信息啊或者其他的,http请求中...
Mina源码阅读笔记(七)—Mina的拦截器FilterChain
weixin_30335353的博客
06-01 199
Filter我们很熟悉,在Mina中,filter chain的用法也类似于Servlet的filters,这种拦截器的设计思想能够狠轻松的帮助我们实现对资源的统一处理。我们先大致连接下mina中的filter能给我们带来什么。 LoggingFilter logs all events and requests.ProtocolCodecFilter converts an i...
SpringSecurity的配置详解——websecurity
C_1_1_的博客
06-09 4656
Websecurity类主要的继承关系为自Websecurity->AbstractConfiguredSecurityBuilder->AbstractSecurityBuilder,其中上一步调用的build方法就在AbstractSecurityBuilderSpringSecurity在这个类中实现了创建FilterChain的方法——performbuild /*...
Spring Security之Config模块详解(TODO)
来啊 快活啊
06-15 2万+
发博词由于软件开发中,要解决的安全的问题非常多且零碎,导致了Spring Security在配置项也很多,对于接触不久的人来说,可能本身安全方面的东西平时“工作生活”中就接触比较少,导致在学习Spring Security的过程中,有种剪不断理还乱的感觉。下面我们就通过Spring Security的Config模块的架构,来理清这个关系。Spring Security ConfigurerSpri
springsecurity详解
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
SpringSecurity源码学习(五)
ifeengwd2012的博客
03-11 460
总结创建HttpSecuirty的创建过程,及其构建SecurityFilterChain过程。
Spring Security中代理过滤器是通过FilterChain如何工作的
u013828625的博客
05-23 4605
我们在搭建Spring Security框架的第一步配置是在项目的web.xml添加代理过滤器,配置如下 springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy springSecurityFilterChain /* 由此我我们可以得出一个结果
请生成基于Spring Securit框架的PBAC权限模型代码
05-19
很抱歉,我无法直接为您生成代码。但是,我可以为您提供一些指导,以便您开始使用Spring Security框架来实现PBAC模型。 首先,您需要了解什么是PBAC模型。 PBAC(基于角色的访问控制)是一种访问控制模型,其中用户的访问权限由其角色确定。因此,PBAC模型可以表示为具有以下组成部分的权限系统: 1. 用户 2. 角色 3. 权限 4. 资源 在Spring Security中,您可以使用以下组件来实现PBAC模型: 1. Authentication(认证) 2. Authorization(授权) 3. Access Control(访问控制) 下面是一个简单的示例,演示如何使用Spring Security框架实现基于角色的访问控制。 1. 配置授权规则: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("admin").password("{noop}admin").roles("ADMIN") .and() .withUser("user").password("{noop}user").roles("USER"); } } ``` 在这个例子中,我们定义了两个用户角色:ADMIN和USER。ADMIN用户可以访问“/admin/**”路径,而USER用户可以访问“/user/**”路径。任何其他请求都需要进行身份验证才能访问。 2. 创建自定义AccessDecisionVoter: ```java public class PbcaAccessDecisionVoter implements AccessDecisionVoter<Object> { @Override public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) { if (authentication == null) { return ACCESS_DENIED; } int result = ACCESS_ABSTAIN; for (ConfigAttribute attribute : configAttributes) { if (this.supports(attribute)) { result = ACCESS_DENIED; List<GrantedAuthority> authorities = (List<GrantedAuthority>) authentication.getAuthorities(); for (GrantedAuthority authority : authorities) { if (attribute.getAttribute().equals(authority.getAuthority())) { return ACCESS_GRANTED; } } } } return result; } @Override public boolean supports(ConfigAttribute attribute) { return attribute.getAttribute() != null; } @Override public boolean supports(Class<?> clazz) { return true; } } ``` 这个自定义的AccessDecisionVoter实现了AccessDecisionVoter接口,并重写了其中的vote()、supports()和supports()方法。这个自定义的AccessDecisionVoter用于根据用户的角色来决定是否允许访问资源。 3. 配置AccessDecisionManager: ```java @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true) public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration { @Override protected AccessDecisionManager accessDecisionManager() { List<AccessDecisionVoter<? extends Object>> decisionVoters = Arrays.asList(new PbcaAccessDecisionVoter()); return new AffirmativeBased(decisionVoters); } } ``` 在这个例子中,我们定义了一个方法级别的安全配置,并通过@EnableGlobalMethodSecurity注解启用了prePostEnabled选项。我们还配置了一个AccessDecisionManager,该Manager使用我们之前定义的自定义AccessDecisionVoter来做出访问决策。 这是一个简单的示例,演示如何使用Spring Security框架实现基于角色的访问控制。当然,您需要根据您的需求进行更改和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值